Periodicamente gli utenti dell’Istituto Nazionale della Previdenza Sociale INPS sono vittima di truffe online. In questi giorni il CERT-AgID ha puntato i riflettori su di una nuova campagna di smishing in corso. Lo smishing lo ricordiamo è una declinazione del più noto phishing, ovvero una truffa perpetrata tramite sms sempre allo scopo di provare a rubare dati sensibili e denaro alle malcapitate vittime.
Analisi della campagna smishing
Nell’ultima campagna segnalata, i messaggi sms che stanno arrivando invitano l’utente a verificare i propri dati seguendo un link proposto, con il falso pretesto di poter continuare, così, a percepire i benefici INPS. Il link riportato sul falso SMS dirotta in verità verso una pagina di landing residente in un dominio (“https ://adesione-ue[.]com”) registrato dal servizio di hosting Ultahost con un IP localizzato in California, ASN Cloudflare e che nulla ha a che vedere con l’istituto previdenziale.
Ecco il risultato della query whois.
La pagina iniziale che riporta loghi e riferimenti riconducibili ai servizi erogati da INPS richiede per la verifica dell’identità inizialmente nome e cognome.
Cliccando sul tasto “AVANTI”, successivamente verranno proposte varie pagine simili con la richiesta di altri estremi personali. Trattasi comunque di vari form presentati in cascata in cui tutti i dati e i documenti inseriti vengono inviati tramite metodo Form e pagine PHP verso un database presidiato dai truffatori.
Di seguito la sequenza delle richieste allo scopo di confermare la corretta identità della vittima:
- Richiesta per l’upload di una copia fronte/retro della carta identità.
- segue la richiesta per l’upload di una copia fronte/retro della tessera sanitaria;
- l’upload di una copia fronte/retro della patente di guida;
- l’upload di un selfie con il documento di identità come ulteriore verifica.
Azioni di mitigazione
l’INPS esorta sempre tutti gli utenti a fare attenzione a questi tipi di messaggi ovviamente falsi, ormai diventati una consuetudine, specificando che i contatti dell’Istituto avvengono esclusivamente tramite i canali ufficiali riconosciuti e che in nessun caso vengono richiesti dall’INPS dati bancari o anagrafici tramite link contenuti su SMS e posta elettronica, esortando a consultare la pagina dedicata ai contatti.
“I dati raccolti vengono utilizzati per compiere diverse attività fraudolente. Uno degli scopi principali è la registrazione di un’identità SPID a nome della vittima, un’operazione che, però, può andare a buon fine solo se non vengono effettuate correttamente le dovute verifiche.”, avverte il CERT-AgID,”Una volta ottenuto il controllo di una nuova identità SPID, i criminali possono accedere ai servizi pubblici ed effettuare operazioni come la modifica dell’IBAN associato ai servizi di pagamento, spostando così l’accreditamento dello stipendio o delle pensioni verso conti correnti a loro disposizione. Inoltre, i documenti sottratti possono essere venduti nel dark web, utilizzati per creare identità false o per perpetrare ulteriori frodi.“
D’altro canto il CERT-AgID raccomanda sempre agli utenti e alle organizzazioni di verificare scrupolosamente le comunicazioni ricevute e la relativa attendibilità attivando le seguenti misure aggiuntive:
- fornire periodiche sessioni di formazione finalizzate a riconoscere il phishing, diffidando da comunicazioni inattese ed accertandosi di immettere le proprie credenziali esclusivamente su siti leciti;
- evitare di inserire i propri dati sensibili su portali di cui non si conosce l’affidabilità;
- evitare di dar seguito a comunicazioni di questo tipo.
Di seguito tutti gli IoC al momento disponibili.
